執(zhí)法部門對(duì)于網(wǎng)絡(luò)攻擊表示不滿，但出席黑帽大會(huì)的幾位發(fā)言人主張利用攻擊工具和僵尸網(wǎng)絡(luò)存在的漏洞，對(duì)攻擊者予以還擊。報(bào)復(fù)性攻擊應(yīng)該成為大企業(yè)IT部門用來(lái)對(duì)付網(wǎng)絡(luò)攻擊的另一種安全工具嗎？

這是個(gè)頗有爭(zhēng)議的想法，執(zhí)法部門對(duì)于網(wǎng)絡(luò)攻擊通常表示不滿；但是近日在美國(guó)首都華盛頓舉辦的黑帽大會(huì)上，幾位發(fā)言人探討了這個(gè)話題：敵人顯然在利用攻擊工具闖入企業(yè)網(wǎng)絡(luò)，惡意破壞企業(yè)數(shù)據(jù)安全，那么企業(yè)要不要予以還擊？如何還擊？

在會(huì)上備受關(guān)注的一個(gè)想法是，有人提出利用攻擊工具和僵尸網(wǎng)絡(luò)存在的漏洞，設(shè)法確定攻擊者在找什么目標(biāo)下手或者設(shè)法提供虛假數(shù)據(jù)，或者甚至是潛入攻擊者的網(wǎng)絡(luò)大本營(yíng)。

TEHTRI-Security是一家總部設(shè)在法國(guó)的道德黑客行為和漏洞研究公司，該公司創(chuàng)辦人兼首席執(zhí)行官Laurent Oudot在黑帽大會(huì)上發(fā)言時(shí)表示，要是結(jié)果查明攻擊者已接管了企業(yè)系統(tǒng)，你自然而然想要“予以還擊”，查清楚攻擊者在搞什么名堂，采用的手段有可能是找到對(duì)方所用的攻擊工具存在的漏洞，然后植下你自己的后門，悄悄監(jiān)視攻擊者。

Oudot說(shuō)：“我們想要奮力還擊。我們想要鉆對(duì)方網(wǎng)絡(luò)的空子。”你需要與攻擊者有關(guān)的統(tǒng)計(jì)數(shù)字和日志，有可能借助這個(gè)想法：攻擊Zeus或SpyEye，甚至攻擊由某個(gè)國(guó)家在背后資助的攻擊者。Oudot特別指出，要找到便于破壞攻擊工具的零日漏洞并不是很復(fù)雜。他公司在識(shí)別漏洞方面有著豐富的經(jīng)驗(yàn)，包括與移動(dòng)設(shè)備有關(guān)的幾個(gè)漏洞。他表示，還擊像Eleonore這樣的攻擊工具包，或者有意將虛假信息提供給攻擊者，其實(shí)相當(dāng)簡(jiǎn)單。他說(shuō)：“你能奮力還擊。你的敵人又不是什么道德黑客。”

安全研究人員Matthew Weeks最近加入了美國(guó)空軍，他也談?wù)摿藢?duì)顯然利用攻擊工具闖入網(wǎng)絡(luò)的黑客要不要還以顏色的問(wèn)題，承認(rèn)執(zhí)法部門可能會(huì)認(rèn)為大多數(shù)予以還擊的想法是違法的。

但是作為開源版Metasploit的開發(fā)者之一（這個(gè)工具用來(lái)測(cè)試和探測(cè)網(wǎng)絡(luò)漏洞，既可以用在正道上，也可以用在歪道上），Weeks表示，諸如此類的工具存在自己的漏洞，就像任何一種軟件一樣，攻擊者可能沒(méi)有注意到要給自己的攻擊工具打上補(bǔ)丁。

他在會(huì)上繼續(xù)深入地探討了開源Metasploit存在的一些漏洞。他還表示，同樣可以用于攻擊的其他工具也存在漏洞，比如Nessus或者Wireshark協(xié)議分析工具。

雖然進(jìn)行反擊的想法仍然有爭(zhēng)議，特別是由于可能會(huì)造成“意想不到的后果”，但Weeks特別指出，作為安全研究人員，他自己傾向于研究如何運(yùn)用像“tarpits”這樣的對(duì)策：一旦攻擊者相互聯(lián)系，這種對(duì)策會(huì)讓他們進(jìn)入死循環(huán)。

Weeks表示，這樣有可能“將攻擊中的一些資源擱置起來(lái)”；監(jiān)測(cè)黑客在搞什么名堂是明智之舉?，F(xiàn)在還很少有證據(jù)表明，公司企業(yè)或文職政府機(jī)構(gòu)在試圖采用這些方式，以其人之矛攻其人之盾，對(duì)付攻擊者；但是世界上幾個(gè)國(guó)家（包括美國(guó)）的軍事部門正在增強(qiáng)網(wǎng)絡(luò)軍事力量，致力于支援報(bào)復(fù)性打擊能力。而誰(shuí)也沒(méi)有否認(rèn)發(fā)生在網(wǎng)絡(luò)空間的間諜行為。

漫長(zhǎng)的較量

雖然以暴治暴也許能夠遏制網(wǎng)絡(luò)攻擊威脅，但黑帽大會(huì)上的幾位發(fā)言人表示，數(shù)據(jù)竊賊還是在輕而易舉地潛入企業(yè)網(wǎng)絡(luò)——在有些情況下，只要誘騙某個(gè)被盯上的受害者打開一封網(wǎng)絡(luò)釣魚電子郵件這么簡(jiǎn)單。據(jù)安全公司Mandiant聲稱，數(shù)據(jù)竊賊通過(guò)這個(gè)途徑趁機(jī)而入，收集最有價(jià)值的信息；他們往往在幾個(gè)月、甚至幾年內(nèi)有條不紊地著手這種攻擊；所以想要將他們逮個(gè)現(xiàn)行，關(guān)鍵得有耐心。

Mandiant分享了其事件響應(yīng)小組在調(diào)查中發(fā)現(xiàn)的一些結(jié)果，并且特別指出：數(shù)據(jù)網(wǎng)絡(luò)竊取常常是個(gè)有條不紊的漫長(zhǎng)過(guò)程，絕對(duì)不是搶來(lái)就跑的一次性事件。攻擊者通常通過(guò)針對(duì)某一個(gè)員工的網(wǎng)絡(luò)釣魚電子郵件潛入進(jìn)去，進(jìn)而控制住基于Windows的計(jì)算機(jī)，然后開始在網(wǎng)絡(luò)上四處搜索，尋找最有價(jià)值的數(shù)據(jù)，之后開始在已中招的機(jī)器上的“集結(jié)區(qū)”（staging area）收集數(shù)據(jù)，企圖最終通過(guò)RAR文件之類的數(shù)據(jù)容器，將這些數(shù)據(jù)傳送出去。

談到攻擊者如何偷偷將數(shù)據(jù)傳送到網(wǎng)絡(luò)外面的話題時(shí)，Mandiant公司的安全顧問(wèn)Sean Coyne表示，在許多情況下，“攻擊者在那里潛伏了好幾個(gè)月，甚至好幾年。”他特別指出，一家受到攻擊的國(guó)防承包商事后發(fā)現(xiàn)，在幾個(gè)月期間，超過(guò)120GB的數(shù)據(jù)（主要是Word文檔）被人偷偷收集起來(lái)，攻擊者挑選了一個(gè)集結(jié)區(qū)，把偷來(lái)的數(shù)據(jù)集中打包，然后用RAR、ZIP或CAB文件等數(shù)字容器發(fā)送出去。

他指出：“發(fā)送一個(gè)大文件要比發(fā)送幾個(gè)小文件來(lái)得容易。大多數(shù)企業(yè)的IT用戶完全沒(méi)有注意到”，盡管他們可能在想為什么自己的計(jì)算機(jī)（被用作了集結(jié)點(diǎn)）突然速度似乎變慢了。

攻擊者常常使用后門特洛伊木馬和數(shù)據(jù)收集工具，比如一款名為Poison Ivy的工具。據(jù)Mandiant聲稱，但數(shù)據(jù)竊賊善于躲避，他們很多時(shí)候采用手動(dòng)方法，而不是自動(dòng)方法，避開安全控制措施，比如入侵預(yù)防系統(tǒng)或數(shù)據(jù)丟失預(yù)防（DLP）。

Mandiant的顧問(wèn)Ryan Kazanciyan表示，他看到過(guò)這樣一個(gè)案例：一家不幸中招的企業(yè)在使用邁克菲主機(jī)入侵預(yù)防系統(tǒng)來(lái)查找RAR文件，但攻擊者發(fā)覺(jué)原來(lái)的攻擊手法引發(fā)警報(bào)后，完全換了一種監(jiān)視不到的攻擊手法。

Coyne表示，“有些壞人會(huì)采用能想到的一切手法”，然后伺機(jī)將數(shù)據(jù)發(fā)送出去；有的人“對(duì)攻擊手法精挑細(xì)選”。不過(guò)證據(jù)表明，如今的數(shù)據(jù)竊賊傾向于采用適合自己風(fēng)格的慣用方法。

被問(wèn)到旨在監(jiān)視或阻止有人企圖未經(jīng)授權(quán)，將數(shù)據(jù)傳送到企業(yè)外面的DLP工具在對(duì)付數(shù)據(jù)外泄方面是否有效時(shí)，Kazanciyan和Coyne都表示了懷疑。

DLP主要是用來(lái)“防止用戶意外向外發(fā)送文件，”Coyne說(shuō)。“它不是為了應(yīng)對(duì)針對(duì)性攻擊而設(shè)計(jì)的。”Kazanciyan表達(dá)了類似的觀點(diǎn)。如果企業(yè)懷疑有數(shù)據(jù)竊賊在搞鬼，要做的頭一件事就是“不要恐慌，”Coyne說(shuō)。要是輕率地對(duì)網(wǎng)絡(luò)進(jìn)行改動(dòng)，只會(huì)讓攻擊者起疑心，從而改變攻擊手法。這是基于風(fēng)險(xiǎn)的決定；但暫時(shí)可能需要作出決定，監(jiān)視被竊取的數(shù)據(jù)，不管這個(gè)過(guò)程有多痛苦，同時(shí)另一頭悄悄地搜尋，查清楚攻擊者在企業(yè)網(wǎng)絡(luò)里面所做的手腳。

鏈接：安全注意事項(xiàng)

懷疑遭遇了網(wǎng)絡(luò)竊賊？

下面是安全公司Mandiant在安全注意事項(xiàng)方面給出的幾個(gè)要點(diǎn)。

要明白攻擊者可能潛伏了好幾個(gè)月，甚至潛伏了好幾年；你的目的是要立即遏制對(duì)方。

調(diào)查工作需要側(cè)重于查找證據(jù)，比如攻擊者經(jīng)常在使用RAR文件這種數(shù)據(jù)容器，將大量數(shù)據(jù)發(fā)送出去之前用來(lái)存儲(chǔ)數(shù)據(jù)的集結(jié)區(qū)。

由于大多數(shù)針對(duì)性攻擊是從針對(duì)員工的網(wǎng)絡(luò)釣魚電子郵件入手的，所以要加強(qiáng)安全教育和技術(shù)措施。

不要恐慌，因?yàn)槟菢庸粽邥?huì)知道你盯上了他們，他們就會(huì)改變攻擊手法。

不要匆忙清除電腦，并重新制作鏡像，因?yàn)槟憧赡軞У袅巳∽C分析所需要的證據(jù)。

不要讓你的網(wǎng)絡(luò)仍然是“扁平的”——添加虛擬局域網(wǎng)之類的隔離環(huán)境會(huì)有所幫助。

【編輯推薦】

1. 五大高危險(xiǎn)僵尸網(wǎng)絡(luò)攻擊模式全解析
2. 連續(xù)性監(jiān)測(cè)如何幫助金融服務(wù)公司避免網(wǎng)絡(luò)攻擊
3. iCloud的推出預(yù)示新一代網(wǎng)絡(luò)攻擊的到來(lái)
4. 伊朗稱再次遭到網(wǎng)絡(luò)攻擊
5. 網(wǎng)絡(luò)攻擊針對(duì)重要基礎(chǔ)設(shè)施企業(yè)呈上升趨勢(shì)